Van de week had ik iets raars op mijn forum:
In het admin paneel stond "Gast" > "Weergeven van Privé Berichten".
Dit is normaal dus nooit niet mogenlijk, een gast kan geen privé berichten lezen normaal gesproken.
Ik had hem eerst tijdenlijk verbannen, weg wat tie. Ban opgeheven en direct weer in het adminpaneel:
"Gast" > "Weergeven van Privé Berichten"
Zo te zien een spambot of een hacker!!!
Hoe is dit lek te beveiligen???
[security]Gasten die privéberichten kunnen lezen???
Forumregels
Sinds 1 januari 2009 wordt phpBB2 niet meer ondersteund.
Onderstaande informatie is verouderd en dient uitsluitend als archief.
Sinds 1 januari 2009 wordt phpBB2 niet meer ondersteund.
Onderstaande informatie is verouderd en dient uitsluitend als archief.
-
Chris de Boden
- Berichten: 88
- Lid geworden op: 04 jan 2003, 03:41
- Locatie: Hoogvliet
-
WebSiteNet
- Berichten: 6524
- Lid geworden op: 20 okt 2003, 16:56
- Locatie: Wieringerwerf
- Contacteer:
Waarschijnlijk is het een gast die op de knop 'prive berichten' klikte maar toen direct naar login.php geredirect werd. Maar precies op het moment dat hij op de pagina was werd zijn sessie geupdate. Dat moet wel, anders kan hij niet kijken of je ingelogd bent. Die gast zag dus alleen een login page en jij dat hij probeerde in de pb's te komen.
Ja, en als het al zou lukken, zouden ze de prive berichten van de gebruiker met het id -1 zien... Dat is anonymous... maar ik kan je verzekeren dat phpbb goed genoeg is beveiligd dat dát niet kan...ajcied schreef:Geld dit ook voor bots?
Alleen support via het forum, dus geen support via email, msn of pb.
Het sessie systeem in phpBB zit vreemd in elkaar, maar ik ben het met podium eens dat het qua beveiliging goed dicht zit.
Ik had eens op een 2.0.4 forum twee accounts, eentje was moderator en de andere niet. Ik was ingelogd met het moderator account, bekeek berichten in het moderator subforum (wat dus ook werd aangegeven in viewonline.php), en logde uit. Daarna logde ik met mijn eigen account terug in, en bekeek andere, publieke, subforums. Maar wat gebeurde er? Viewonline.php beweerde dat ik met het tweede account in het moderator forum zat, waar dat account helemaal niet in kon! Iets wat erg vreemd is, aangezien bij het uitloggen je sessie wordt gewist.
Ik probeer dus te zeggen dat de weergave van de sessies soms wat verwarrend is, maar dat het dan meestal niet klopt met de werkelijkheid.
Ik had eens op een 2.0.4 forum twee accounts, eentje was moderator en de andere niet. Ik was ingelogd met het moderator account, bekeek berichten in het moderator subforum (wat dus ook werd aangegeven in viewonline.php), en logde uit. Daarna logde ik met mijn eigen account terug in, en bekeek andere, publieke, subforums. Maar wat gebeurde er? Viewonline.php beweerde dat ik met het tweede account in het moderator forum zat, waar dat account helemaal niet in kon! Iets wat erg vreemd is, aangezien bij het uitloggen je sessie wordt gewist.
Ik probeer dus te zeggen dat de weergave van de sessies soms wat verwarrend is, maar dat het dan meestal niet klopt met de werkelijkheid.